由Meta案看數位資料商業化面臨之跨國問題
於2023年5月22日愛爾蘭資料保護委員會(Ireland's Data Protection Commission, DPC)對於Facebook的母公司Meta將歐盟境內資料傳輸到美國的行為做出開罰12億歐元的決定,並暫停資料跨境傳輸行為,再次引起了各界對於資料跨境傳輸的關注。
針對跨國提供網路服務的企業,如何確保企業處理資料的方式可以符合多國的法規要求,向來是一困難的問題。自從2015年「安全港隱私準則」(Safe Harbour Privacy Principles)被歐盟法院宣告失效後,美國與歐盟試圖就資料跨境傳輸重新達成一個可符合雙方要求的框架,包含2020年被歐盟法院宣告無效的「隱私盾框架」(EU-US Privacy Shield Framework),而2022年3月雙方達成原則性同意的歐盟美國資料隱私框架(EU-U.S. Data Privacy Framework, DPF),惟就美國於同年10月發布用以實施之行政命令(EO 14086),亦於2023年5月被歐洲議會認為對於歐盟境內資料的保護不足。
2023年6月8日英國跟美國共同發布建立英美資料橋(UK-US data bridge)的聯合聲明,以建立起英美之間的資料流動機制,但該英美資料橋是基於歐盟美國資料隱私框架做進一步的擴展,能否符合歐盟對於資料保護的要求,目前尚無法預期。
目前的商業模式中資料跨境傳輸是難以避免的現實困境,各國亦就資料跨境傳輸建立框架,企業需持續關注自身營業所在地之法規變化,以即時因應調整自身管理機制。
本文同步刊登於TIPS網站(https://www.tips.org.tw/)
- Shiona McCallum, Meta: Facebook owner fined €1.2bn for mishandling data, BBC NEWS, May 28, 2023
- Ana Hadnes Bruder, Oliver Yaros, David A. Simon & Salome Peter, European Parliament Adopts Resolution About the Draft US Adequacy Decision , MAYER BROWN, Jun. 6, 2023
- Jan-Luca Jorzyk* & Amancaya Schmitt, The “Trans-Atlantic Data Privacy Framework” – Finally a Legally Secure Data Transfer to the United States? , Littler, May 17, 2023
- (已額滿)114年「企業營業秘密保護實務座談會」(北部場)–營業秘密因應數位環境之保護風險及管理對策
- 2025科技研發法制推廣活動— 科專個資及反詐騙實務講座(實體)
- 2025科技研發法制推廣活動— 科專個資及反詐騙實務講座(直播)
- 【台北場1】通訊傳播事業個資法遵教育訓練
- 【台中場】通訊傳播事業個資法遵教育訓練
- 【新北場】通訊傳播事業個資法遵教育訓練
- 【高雄場】通訊傳播事業個資法遵教育訓練
- 【台北場2】通訊傳播事業個資法遵教育訓練
- 114年「企業營業秘密保護實務座談會」(南部場)
- 114年「企業營業秘密保護實務座談會」(中部場)
- 114年資訊服務業者個資安維辦法宣導說明會
- 【線上】資訊服務業個資安維計畫說明會
- 【實體】資訊服務業個資安維計畫說明會暨交流工作坊
- 【台北場1】通訊傳播事業個資保護實務專題講座
- 【台北場2】通訊傳播事業個資保護實務專題講座
- 【台北場3】通訊傳播事業個資保護實務專題講座
- 金融相關資服業者線上個資安維宣導說明會
- 【上午場】探索科技法律最前線:資策會科法所「114年成果」分享會暨簡報票選
- 【下午場】探索科技法律最前線:資策會科法所「114年成果」分享會暨簡報票選
- 商業服務業個資管理與資訊安全實務宣導說明會(高雄場)
- 商業服務業個資管理與資訊安全實務宣導說明會(台南場)
- 商業服務業個資管理與資訊安全實務宣導說明會(台中場)
- 商業服務業個資管理與資訊安全實務宣導說明會(台北場)
莊越程
高級法律研究員 編譯整理
Shiona McCallum, Meta: Facebook owner fined €1.2bn for mishandling data, BBC NEWS, May 28, 2023, https://www.bbc.com/news/technology-65669839 (last visited Jun. 19, 2023).
Ana Hadnes Bruder, Oliver Yaros, David A. Simon & Salome Peter, European Parliament Adopts Resolution About the Draft US Adequacy Decision , MAYER BROWN, Jun. 6, 2023, https://www.mayerbrown.com/en/perspectives-events/publications/2023/06/european-parliament-adopts-resolution-about-the-draft-us-adequacy-decision (last visited Jun. 19, 2023).
Jan-Luca Jorzyk* & Amancaya Schmitt, The “Trans-Atlantic Data Privacy Framework” – Finally a Legally Secure Data Transfer to the United States? , Littler, May 17, 2023, https://www.littler.com/publication-press/publication/trans-atlantic-data-privacy-framework-finally-legally-secure-data (last visited Jun. 19, 2023).
科法觀點
新加坡通訊暨資訊部(Ministry of Communications and Information, MCI)於2020年11月2日發布新聞稿表示,新加坡國家議會(Parliament of Singapore)通過個人資料保護法(Personal Data Protection Act, PDPA)修正案。主要由新加坡個人資料保護委員會(Personal Data Protection Commission, PDPC)擔任執行與管理機關,而新加坡個人資料保護法僅適用於私人企業、非公務機關。 新加坡通訊暨資訊部特別強調,該個人資料保護法於2013年1月生效,而近年物聯網、人工智慧等新興科技瞬息萬變,隨著資料量急遽增長,企業組織利用個人資料進行創新,成為了社會、經濟和生活的一部分,此次修法意在因應新興科技的進步與新商業模式的發展,使該法可適應、接軌於複雜的數位經濟趨勢,同步維護消費者在數位經濟中的權益,更加符合國際框架,使總部位於新加坡的公司在擴展全球市場時,有助其調整和降低合規成本與風險。主要將加強消費者保護並支持企業業務創新,希望以最大程度提高私部門收益、減少蒐集和利用個人資料的風險,以取得平衡,修訂重點整理如下: 透過組織問責制度,加強消費者之信任; 加強組織使用個人資料開發創新產品,提供個人化服務、提高組織之營運效率; 資料外洩時的強制性通知規定、責任(可參見26A條以下); 提高企業造成資料外洩時的罰款最高額度,當企業組織年營業額超過1000萬美金者,可處以該組織在新加坡年營業額的10%,或100萬新加坡幣(約62萬歐元),以較高者為準(可參見48J條以下); 強化個人資料保護委員會的執法權限,提高執法效率; 為了強化消費者的自主權(consumer autonomy)、對其個資的控制權,規範資料可攜義務(data portability obligation),使個人能要求將其個人資料的副本傳輸到另一個組織(可參見26F條以下); 允許企業在特定合法利益(legitimate interests)、業務改善(business improvement purpose)之目的情況下,對於個資之蒐集、使用、揭露,得例外不經當事人同意,意即不需經當事人事先同意,即可蒐集、利用或揭露消費者個資,例如開發改善產品和進行市場調查研究、在支付系統中進行異常檢測以防止詐欺或洗錢、改善營運效率和服務等目的。(可參見附表一第三、第五部分) 允許關聯企業(related corporations)間,在基於「明確定義相關限制」(clearly defined limits)之相同目的前提下,例如透過具有拘束力的公司規則(binding corporate rules)施以一定限制時,可在彼此內部間蒐集、揭露個人資料。(可參見附表一第四部分) 針對「視為同意」(deemed consent)之相關規定,包含告知後同意(consent by notification)做進一步修訂,將允許企業組織在具契約必要性等特定情形下,在未明確徵得當事人同意之下,向另一個組織或外部承包商(contractors)揭露其個人資料,以利履行契約(fulfil contracts),但該組織與該當事人之間的契約中需有明示條款(express terms)。(可參見15A條以下)
日本公布2014年度智慧財產推進計畫日本於2013年6月由智慧財產戰略本部發布了「智慧財產政策願景」,作為自公布後未來十年中長期智慧財產政策的核心,其後每年均依此制定各年度的智慧財產推進計畫。 延續前揭「智慧財產政策願景」內容,智慧財產戰略本部於今年7月4日公布「智慧財產推進計畫2014」,除仍以「為強化產業競爭力,構築全球性智財系統」、「中小、新創企業的智財管理強化支援」、「對應數位網路社會的環境建構」、「強化以內容為中心的軟實力」等四項領域作為核心之外,另經由2013年10月起設置的「檢證。評價。企畫委員會」選擇十二項議題進行充分的討論,並以此十二項議題作為制定今年度「智慧財產推進計畫2014」的基礎。 此外,委員會並針對單一部會進行施政將有所困難,有必要進行跨部會橫向協力的五項課題設置特別任務小組,列為「智慧財產戰略本部最重點的五支柱」,分別為:1、職務發明制度根本性的修正;2、營業秘密保護整體性的強化;3、中小、新創企業和大學的海外智財活動支援;4、數位內容的海外拓展及與搏來客行銷間的協力;5、加速建構以促進數位典藏的利活用。日本智財戰略本部並期待此「智慧財產戰略本部最重點的五支柱」能發揮司令塔的功能,對相關連的政策發揮引導的功用。
香港CEPA第三次補充協議關於知識產權保護之內容與影響 美國3月發布AI國家政策框架美國3月發布AI國家政策框架 資訊工業策進會科技法律研究所 2026年06月05日 美國白宮於2026年3月發布AI國家政策(National Policy Framework for Artificial Intelligence,下稱AI框架),提出與AI相關之立法建議。該框架不具強制性,亦非創立新規範,僅係提供國會就聯邦AI立法給予立法建議,以協助國會考慮聯邦層級之AI監管方案。 壹、政策背景 川普政府自2025年上任後即撤銷前總統拜登政府時期強調風險控管與偏見防範之14110號行政命令,並於三天後簽署14179號行政命令,《消除美國AI領導障礙》(Eliminating Obstacles to American Leadership in AI),內容確立應維持並強化美國AI於全球之領導地位。同年7月,川普政府發佈「美國AI行動計畫」(AI Action Plan),政策重心著重於AI監管鬆綁及創新驅動;後於12月簽署《確保AI國家政策框架》(Ensuring A National Policy Framework For Artificial Intelligence)行政命令,核心目標係排除地法對國家AI政策之影響,確保聯邦法規於AI治理上之優先,避免政府政策碎片化。而2026年3月發布之AI框架延續先前之政策路線,並具體化為立法建議,包含兒童保護、智慧財產權保障、AI打詐、民生能源確保等。於組織運作上,AI框架主張不增設新AI專門單位,而是透過現有機構依其專業領域彈性管理,同時亦要求建立聯邦層級之AI法規,制定全國一致之標準。 貳、重點說明 AI框架並未涵蓋所有AI相關議題,僅針對政府認為應作為聯邦AI立法核心之7個領域給予立法建議,針對兒童、創作者及社區提供保障,並於創新、競爭力及國家安全間取得平衡。 1.保護兒童並強化家長權能 該部分係強調對於兒童在AI相關風險上之保護,要求AI服務及平台應採取保護兒童之措施,並且賦予家長管控兒童之權力。框架建議國會應持續深化兒童保護相關之修立法,強制平台建立年齡驗證機制及降低性剝削或自傷風險之防禦措施。同時,應確保現行兒童隱私法規能適用於AI系統,並且應避免模糊之內容標準及開放性責任。並且應尊重各州對於兒童保護之一般性法規。 2. 保障及強化美國社區 AI框架呼籲國會應簡化AI基礎建設之聯邦許可程序,以加速AI基處建設發展,並且同時顧及民生能源,確保一般居民不因AI資料中心建設發展之電費成本而負擔較高電費。另應加強打擊AI詐騙及詐欺,並確保國安機構對AI模型之掌握及風險控管能力;對於中小企業應提供AI資源協助,普及AI於產業中之部署。 3. 尊重智慧財產權並支持創作者 AI框架強調對創作者之保障,同時亦不應損害合法創新及言論自由。框架中強調,國會應尊重法院對於AI模型利用著作權作品進行訓練之合理使用裁決。並呼籲國會考慮建立授權框架或集管機制,以保障著作權人與AI供應商間之協商管道;同時呼籲應建立對數位複製品之保護措施,避免如聲音或肖像等個人可辨識特徵被未經授權轉為AI商用。 4. 防止審查與保護言論自由 AI框架中強調,聯邦政府須保障言論自由,並防止AI系統被用以壓制或審查合法之政治表達或異議。呼籲國會應防止美國政府強迫科技廠商,包含AI供應商,基於政黨或意識形態禁止、更改或強制內容。並應針對政府於AI平台之審查提供有效救濟方式。 5.促進創新並確保美國AI之主導地位 為推動美國於AI之領先地位,國會應建立監管沙盒鼓勵創新,並將聯邦資料庫轉化為AI可讀形式供產學界之模型訓練。在監管上,應避免建立新的監管機關,而是透過現有專業機構及產業主導標準進行分業監管,確保AI發展能於現有法規框架與產業實務下穩定成長。 6. 教育民眾並培養具備AI能力之勞動力 AI框架中強調青年培訓以及新工作機會之重要性。呼籲國會應採取非監管手段,將AI納入現有教育及職訓計畫中,制定精準的人才扶持政策,並強化贈地大學(Land-grant institutions)之AI技術支援能力。 7. 建立聯邦政策框架,避免繁瑣的州級AI法規 聯邦政府須建立聯邦層級之AI政策框架,透過聯邦優先原則取代各州不一之法律,以減輕企業合規成本並維護國家競爭力。應禁止各州干預具跨州、外交及國安特性之AI技術研發,亦不得因第三方非法行為而懲罰AI開發者;但仍須尊重傳統之州警察權力,尊重地方政府之基礎建設規畫及州政府內部使用AI規範之自主權。 參、事件評析 美國AI框架延續川普政府自上任以來之AI政策,強調監管鬆綁,並欲降低對AI之嚴格管制,促進創新及強化美國競爭力。此次框架法建議係建議國會建立聯邦層級之AI規範標準,但核心並非推動單一、全面性之法規改革,而是針對各特定領域給予立法建議,透過各領域機構之既有專業進行分業監管。 相較於歐盟透過AI Act 建立統一且具法律拘束力之AI風險分級管理制度,美國AI框架則是傾向透過既有法律體系及主管機關進行管理。雖近年來美國部分州政府已陸續推動AI相關立法,然AI框架強調建立聯邦層級之一致性政策,未來聯邦與州之間之法律及政策適用仍有爭議產生之可能。整體而言,美國AI框架透過分散式法律制度、分業監管方式處理AI相關風險,而非建立全面性總括之AI專法或專責機構。惟該框架目前僅屬白宮向國會提出之立法建議,未來國會如何將該些建議具體落實於各部會之聯邦法案中,以及是否能有效平衡監管及創新需求,仍有待後續觀察。 本文為資策會科法所創智中心完成之著作,非經同意或授權,不得為轉載、公開播送、公開傳輸、改作或重製等利用行為。 本文同步刊登於TIPS網站(https://www.tips.org.tw)